Comparação Netfilter/Iptables e Cisco ASA

See discussions, stats, and author profiles for this publication at: https://www.researchgate.net/publication/272998342
Estudo Comparativo de Soluções de Firewalls: Netﬁlter/Iptables e Cisco ASA
(Trabalho de Diplomação)
Thesis · December 2013
CITATIONS
0
READS
3,567
2 authors, including:
Some of the authors of this publication are also working on these related projects:
Laboratório de engenharia e produção de software Faccamp View project
Metodologia e Orientação de Trabalho de Pesquisa em Computação (Faccamp) View project
Computação Unifaccamp
Faculdade Campo Limpo Paulista
38 PUBLICATIONS 1 CITATION
SEE PROFILE
All content following this page was uploaded by Computação Unifaccamp on 02 March 2015.
The user has requested enhancement of the downloaded file.

FACULDADE CAMPO LIMPO PAULISTA
BACHARELADO EM CIÊNCIA DA COMPUTAÇÃO
Trabalho de Diplomação
Lucas Rodrigues da Silva – 14986
André Marcos Silva (Orientador)
Trabalho de Diplomação
Estudo Comparativo de Soluções
de Firewalls: Netfilter/Iptables e
Cisco ASA
Lucas Rodrigues da Silva

2
Estudo Comparativo de Soluções de Firewalls: Netfilter/Iptables
e Cisco ASA
Trabalho submetido à Coordenação de
Ciência da Computação da Faculdade Campo
Limpo Paulista como requisito parcial para
obtenção do título de Bacharel em Ciência da
Computação.
Campo Limpo Pta (SP), 06 de dezembro de
2013.
Lucas Rodrigues da Silva
Banca examinadora
Prof. Me. André Marcos Silva (Orientador)
Prof. Esp. Eduardo Ximenes Soares
Prof. Dr. Luís Mariano del Val Cura (Suplente)

3
Estudo Comparativo de Soluções de Firewalls:
Netfilter/Iptables e Cisco ASA
Dedicatória
À minha família que iniciou minha educação e sempre me apoiou, para que eu
pudesse crescer e realizar os meus sonhos, que me incentivou a busca por novos
conhecimentos, de forma que eu seja sempre uma pessoa honesta e dedicada
àquilo que faça.
À todos os mestres que dedicaram o melhor dos seus esforços para que eu
pudesse aprender seus conhecimentos e aplicá-los com exatidão, desenvolvendo o
progresso.
À todos os amigos que fiz, porque ninguém constrói nada nesse mundo sozinho.
“Não é preciso ter olhos abertos para ver o sol, nem é preciso ter ouvidos afiados
para ouvir o trovão. Para ser vitorioso você precisa ver o que não está visível.” –
Sun Tzu

4
RESUMO
Com o desenvolvimento acelerado das Tecnologias da Informação, deve-se
sempre ter em mente como nos defender dos ataques de profissionais da área da
informação que utilizam tais tecnologias para obter de maneira obscura
informações sigilosas tanto de usuários comuns, quanto de grandes corporações.
Este trabalho consiste no desenvolvimento de um estudo comparativo entre duas
das várias soluções de firewalls presentes atualmente no mercado para proteção de
redes de computadores, o firewall Netfilter/Iptables, presente nas distribuições
Linux e o Appliance Cisco ASA.
Serão abordados neste trabalho tópicos como custos, tempo médio necessário para
implantação testes de penetração.

5
SUMÁRIO
1. INTRODUÇÃO .............................................................................................. 7
2. O PROBLEMA............................................................................................... 7
3. OBJETIVOS ................................................................................................... 8
4. METODOLOGIA ........................................................................................... 8
Ferramentas e Softwares Utilizados.................................................................... 8
Descrição do Escopo de Testes Comparativos ................................................... 8
5. DESENVOLVIMENTO DO TRABALHO.................................................... 9
Introdução ao Conceito de Firewall.................................................................... 9
Tipos de Firewall.............................................................................................. 10
Filtragem de pacotes (packet filtering) ......................................................... 10
Firewall de aplicação ou proxy de serviços .................................................. 11
Inspeção de estados....................................................................................... 13
Firewalls de hardware ................................................................................... 13
Arquitetura dos Firewalls ................................................................................. 14
Arquitetura Dual-Homed Host...................................................................... 14
Arquitetura Screened Host............................................................................ 14
Arquitetura Screened Subnet......................................................................... 15
Limitações dos Firewalls.................................................................................. 16
O Netfilter e Suas Características ..................................................................... 17
A tabela Filter................................................................................................ 18
A tabela Nat................................................................................................... 18
A tabela Mangle ............................................................................................ 19
Principais características ............................................................................... 20
Vantagens e desvantagens............................................................................. 21
O Cisco IOS e Suas Características .................................................................. 22
Visão geral sobre os dispositivos ASA......................................................... 23
Vantagens e desvantagens............................................................................. 26

6
Custos e Tempo de Implantação das Soluções ................................................. 27
Servidor Linux com Netfilter/Iptables .......................................................... 28
Cisco ASA e roteador Cisco 881 .................................................................. 29
Testes de Negação de Serviço........................................................................... 29
Descrição do laboratório de testes ................................................................ 29
Características gerais do laboratório ............................................................. 30
Teste com sniffer de rede .............................................................................. 31
Teste com traçada de rota.............................................................................. 32
Teste com ataque do tipo Synflood............................................................... 33
Teste com ataque do tipo Garbage................................................................ 33
Teste com ataque do tipo ping UDP ............................................................. 34
Teste com ataque do tipo ping TCP .............................................................. 34
Procedimento do teste com ataque do tipo ping da “morte”......................... 34
Resultados obtidos ........................................................................................ 35
Resultados com o Cisco ASA. ...................................................................... 35
Resultados com o Netfilter/Iptables.............................................................. 35
6. CONCLUSÃO .............................................................................................. 36
7. REFERÊNCIAS ELETRÔNICAS E BIBLIOGRÁFICAS.......................... 37
8. ANEXOS ...................................................................................................... 39
Anexo A – Cotações dos Equipamentos........................................................... 39
Anexo B – Cotações das Consultorias .............................................................. 49

7
1. INTRODUÇÃO
Nos tempos atuais, a Tecnologia da Informação se faz presente em todas as áreas,
e sem ela, não seria possível computar e tratar a massa de dados que são utilizadas
como recursos para o progresso da sociedade.
Dados esses de variados tipos, sejam eles textos, vídeos, e-mails, telefonemas,
documentos, etc. Entre eles, há os que possuem teor confidencial, como
documentos que descrevem a regra de um negócio, informações militares,
documentos de Estado, para citar alguns.
Não seria legal, por exemplo, que um documento que descreve como lançar um
míssil nuclear caísse nas mãos de hackers, que poderiam vender esta informação e
gerar uma guerra.
Para que isso não ocorra, existem profissionais de Tecnologia da Informação
especializados na área de Segurança da Informação, que criam metodologias e
ferramentas que desempenham papel fundamental na proteção de sistemas e redes
de computadores.
Uma dessas ferramentas é o firewall. Segundo Oppliger (1997), “Um firewall é
um sistema de segurança de rede baseado em um software ou hardware que
controla o tráfego de entrada e saída em uma rede, analisando os pacotes de dados
e determinando se eles devem ser permitidos passar ou não, baseado em um
conjunto de regras. Um firewall estabelece uma barreira entre uma rede interna
segura e confiável e uma rede supostamente não segura, por exemplo, a Internet.”
Existem muitas soluções de firewall presentes no mercado hoje, algumas delas
incluídas em sistemas operacionais, por exemplo as distribuições Linux que vêm
com uma ferramenta de firewall embutida em seu kernel, denominado
Netfilter/Iptables. Outro exemplo é o appliance Cisco ASA, que é um firewall
baseado em hardware, que roda um sistema operacional proprietário da Cisco, o
IOS, construído especialmente para este fim.
2. O PROBLEMA
Escolhendo uma solução de firewall para a sua empresa de modo que ela atenda
eficientemente às necessidades de segurança, levando em consideração qual a
melhor relação custo X benefício.

8
3. OBJETIVOS
Apresentar uma introdução ao conceito de firewall e fazer uma comparação entre
as soluções de firewall Netfilter/Iptables e Cisco ASA, sob os seguintes aspectos:
 Funcionamento das soluções.
 Custos e tempo médio de implantação das soluções.
 Resultados de testes de penetração.
4. METODOLOGIA
Ferramentas e Softwares Utilizados
 Como software de virtualização será utilizado o VirtualBox, que é
oferecido pela Oracle, sob licença GNU GPL (VirtualBox, 2013).
 Servidores Linux, rodando a distribuição Ubuntu Server 12.04.3
(Canonical Ubuntu Server, 2013).
 Será utilizado o software GNS-3 para emular o sistema operacional
IOS de um firewall Cisco ASA modelo 5510 (GNS3, 2013).
 Estação de trabalho rodando a distribuição Linux Ubuntu
Workstation 13.10 (Canonical Ubuntu Desktop, 2013).
Descrição do Escopo de Testes Comparativos
 Funcionamento das soluções:
 Será feita uma descrição de como ambas soluções são
implementadas e de como elas trabalham dentro de uma
rede, bem como suas vantagens e desvantagens.
 Custos e tempo médio de implantação das soluções:
 Serão apresentados os custos para implantação das soluções
e o tempo médio necessário que uma consultoria precisa
para tal.
 Resultados de testes de penetração:
 Serão utilizados métodos de penetração em um laboratório
de máquinas virtuais, para testar a resiliência e a
confiabilidade de ambas soluções.

9
5. DESENVOLVIMENTO DO TRABALHO
Introdução ao Conceito de Firewall
“Firewall é uma solução de segurança baseada em hardware ou software que, a
partir de um conjunto de regras ou instruções, analisa o tráfego da rede para
determinar quais operações de transmissão ou recepção de dados podem ser
executadas (Infowester, 2013)”.
Para melhor compreensão, pode-se imaginar um firewall como sendo a portaria de
uma empresa: para entrar, é necessário obedecer condições, como se identificar e
não portar qualquer objeto que possa trazer riscos à segurança. Para sair, não se
pode levar nada que pertença à empresa sem a devida autorização.
Neste sentido, um firewall pode impedir uma série de ações maliciosas como um
software malicioso que utiliza determinada porta para se instalar em um
computador sem que o usuário perceba ou uma tentativa de acesso à rede a partir
de computadores externos não autorizados, entre outros.
A figura 1 exemplifica, basicamente, o funcionamento de um firewall, como
sendo um dispositivo intermediário entre a rede interna (segura) e a rede externa,
a Internet (não segura).
Figura 1: Representação básica de um firewall (Infowester, 2013)
“Em um modo mais restritivo, um firewall pode ser configurado para bloquear
todo e qualquer tráfego no computador ou na rede. O problema é que esta
condição isola este computador ou esta rede, então pode-se criar uma regra para
que, por exemplo, todo aplicativo aguarde autorização do usuário ou
administrador para ter seu acesso liberado. Esta autorização poderá inclusive ser
permanente: uma vez dada, os acessos seguintes serão automaticamente
permitidos.
Em um modo mais versátil, um firewall pode ser configurado para permitir
automaticamente o tráfego de determinados tipos de dados, como requisições
HTTP (Hypertext Transfer Protocol) e bloquear outras, como conexões a serviços
de e-mail (Infowester, 2013)”.

10
Perceba que as políticas de um firewall são baseadas, inicialmente, em dois
princípios: todo tráfego é bloqueado, exceto o que está explicitamente
autorizado; todo tráfego é permitido, exceto o que está explicitamente
bloqueado.
“Firewalls mais avançados podem ir além, direcionando determinado tipo de
tráfego para sistemas de segurança internos mais específicos ou oferecendo um
reforço extra em procedimentos de autenticação de usuários, por exemplo
(Infowester, 2013)”.
Tipos de Firewall
O maneira que um firewall desempenha seu papel pode ser realizado de várias
formas. O que define uma metodologia ou outra são fatores como critérios dos
profissionais da Tecnologia da Informação, as necessidades específicas do que
precisa ser protegido, os sistemas operacionais que o mantém e os que rodam na
rede, estrutura da rede, os serviços que são sustentados e assim por diante. É por
isso que podemos encontrar mais de um tipo de firewall.
Filtragem de pacotes (packet filtering)
“As primeiras soluções de firewall surgiram na década de 1980 baseando-se em
filtragem de pacotes de dados (packet filtering), uma metodologia mais simples e,
por isso, mais limitada, embora ofereça um nível de segurança significativo
Para compreender esta informação, é importante saber que cada pacote possui um
cabeçalho com informações, como IP de origem, IP de destino, tamanho, entre
outros. O firewall então analisa este pacote e o verifica de acordo com as regras
configuradas para liberá-lo ou não (seja para sair ou entrar no servidor ou na
rede), podendo também executar alguma tarefa, como gerar log do acesso ou da
sua tentativa.
“A transmissão dos dados é feita com base no padrão TCP/IP (Transmission
Control Protocol/Internet Protocol), que é organizado em camadas. A filtragem
normalmente se limita às camadas de rede e de transporte: a primeira é onde
ocorre o endereçamento dos equipamentos que fazem parte da rede e processos de
roteamento, por exemplo; a segunda é onde estão os protocolos que permitem o
tráfego de dados, como o TCP e o UDP (User Datagram Protocol) (Infowester,
2013)”.
Com base nisso, um firewall de filtragem pode ter, por exemplo, uma regra que
permita todo o tráfego da rede local que utilize a porta UDP 123 (porta utilizada
pelo protocolo NTP – Network Time Protocol), assim como ter uma política que
bloqueia qualquer acesso da rede local por meio da porta TCP 25 (porta utilizada
pelo protocolo SMTP – Simple Mail Transfer Protocol).

11
A figura 2 representa graficamente como funciona a filtragem de pacotes, onde
este passa por um filtro, que o classifica como um pacote autorizado ou não
autorizado.
Figura 2: Filtragem de pacotes (Infowester, 2013)
É possível encontrar dois tipos de firewall de filtragem de pacotes. O primeiro
utiliza o que é conhecido como filtros estáticos, enquanto que o segundo é um
pouco mais evoluído, utilizando filtros dinâmicos.
“Na filtragem estática, os dados são bloqueados ou liberados meramente com
base nas regras, não importando a ligação que cada pacote tem com outro. A
princípio, esta abordagem não é um problema, mas determinados serviços ou
aplicativos podem depender de respostas ou requisições específicas para iniciar e
manter a transmissão. É possível então que os filtros contenham regras que
permitem o tráfego destes serviços, mas ao mesmo tempo bloqueiem as respostas
ou requisições necessárias, impedindo a execução da tarefa (Infowester, 2013)”.
Esta situação pode ocasionar em um enfraquecimento da segurança da rede, visto
que o seu administrador poderia se ver obrigado a criar regras menos rígidas para
evitar que os serviços não tenham seus funcionamentos prejudicados, aumentando
os riscos de o firewall não filtrar pacotes que deveriam ser realmente bloqueados.
“A filtragem dinâmica surgiu para superar as limitações dos filtros estáticos.
Nesta categoria, os filtros consideram o contexto em que os pacotes estão
inseridos para "criar" regras que se adaptam ao cenário, permitindo que
determinados pacotes trafeguem, mas somente quando necessário e durante o
período correspondente. Desta forma, as chances de respostas de serviços serem
barradas, por exemplo, cai consideravelmente (Infowester, 2013)”.
Firewall de aplicação ou proxy de serviços
“O firewall de aplicação, também conhecido como proxy de serviços ou apenas
proxy é uma solução de segurança que atua como intermediário entre um
computador ou uma rede interna e outra rede, normalmente a Internet. Geralmente
instalados em servidores potentes por precisarem lidar com um grande número de
solicitações, firewalls deste tipo são opções interessantes de segurança porque não
permitem a comunicação direta entre origem e destino (Infowester, 2013)”.

12
A figura 3 ajuda na compreensão do conceito. Em vez de a rede interna se
comunicar diretamente com a Internet, há um dispositivo entre estas redes que cria
duas conexões, um entre a rede e o proxy e uma entre o proxy e a Internet.
Figura 3: Funcionamento básico de um proxy (Infowester, 2013)
Deste modo, todo o fluxo de dados passa pelo servidor proxy. Assim, é possível,
por exemplo, criar regras que impeçam o acesso à certos endereços externos,
assim como que proíbam a comunicação entre computadores da rede interna e
determinados serviços ou outros computadores remotos.
Este controle amplo também possibilita o uso do proxy para tarefas
complementares: o equipamento pode registrar o tráfego de dados em um arquivo
de log, conteúdo muito utilizado pode ser guardado em uma espécie de cache,
uma página da Internet muito acessada fica guardada temporariamente no proxy,
fazendo com que não seja necessário requisitá-la no endereço original a todo
instante, por exemplo. Determinados recursos podem ser liberados apenas
mediante autenticação do usuário, entre outros.
“A implementação de um proxy não é tarefa fácil, haja visto a enorme quantidade
de serviços e protocolos existentes na Internet, fazendo com que, dependendo das
circunstâncias, este tipo de firewall não consiga ou exija muito trabalho de
configuração para bloquear ou autorizar determinados acessos.
No que diz respeito a limitações, é conveniente mencionar uma solução chamada
de proxy transparente. O proxy "tradicional", não raramente, exige que
determinadas configurações sejam feitas nas ferramentas que utilizam a rede (por
exemplo, um navegador de Internet) para que a comunicação aconteça sem erros.
O problema é, dependendo da aplicação, este trabalho de ajuste pode ser inviável
ou custoso (Infowester, 2013)”.
O proxy transparente se torna então uma alternativa para estes casos, porque as
máquinas que fazem parte da rede onde ele está inserido não precisam saber de
sua existência, dispensando qualquer configuração específica. Todo acesso
externo é feito normalmente do cliente para a rede externa e vice-versa, mas o
proxy transparente intercepta esta conexão e responde como se a comunicação, de
fato, fosse direta do host da rede interna para a rede externa.

13
“É válido ressaltar que o proxy transparente também tem lá suas desvantagens, por
exemplo: um proxy "normal" é capaz de barrar uma atividade maliciosa, como um
malware enviando dados de uma máquina para a Internet (Infowester, 2013)”. O
proxy transparente, ao contrário disso, pode não bloquear este tráfego de dados.
Pois para conseguir se comunicar externamente, o malware teria que ser
configurado manualmente para usar o proxy autenticado e isso geralmente não
acontece no proxy transparente. Nele não há esta limitação, portanto, o malware
se comunicaria normalmente com a rede externa.
Inspeção de estados
“Tido por alguns especialistas no assunto como uma evolução dos filtros
dinâmicos, os firewalls de inspeção de estado (stateful inspection) trabalham
fazendo uma espécie de comparação entre o que está acontecendo e o que é
esperado para acontecer.
Para tanto, firewalls de inspeção analisam todo o tráfego de dados para encontrar
estados, isto é, padrões aceitáveis por suas regras e que, a princípio, serão usados
para manter a comunicação. Estas informações são então mantidas pelo firewall e
usadas como parâmetro para o tráfego subsequente (Infowester, 2013)”.
Para entender melhor, considere que um aplicativo iniciou um acesso para
transferência de arquivos entre um cliente e um servidor. Os pacotes de dados
iniciais informam quais portas serão usadas para que isto ocorra. Se de repente o
tráfego começar a fluir por uma porta não mencionada, o firewall pode então
detectar esta ocorrência como uma anormalidade e efetuar o descarte deste pacote.
Firewalls de hardware
Como já mencionado, um firewall poder ser do tipo software ou do tipo
hardware. Esta informação não está incorreta, mas é necessário um complemento:
o firewall de hardware nada mais é do que um equipamento com um software de
firewall dedicado instalado nele.
É possível encontrar, por exemplo, roteadores ou equipamentos semelhantes que
exercem este tipo de trabalho. Neste caso, o objetivo normalmente é o de proteger
uma rede com tráfego considerável ou com dados muito importantes.
“A vantagem de um firewall de hardware é que o equipamento, por ser
desenvolvido especificamente para este fim, é preparado para lidar com grandes
volumes de dados e não está sujeito a vulnerabilidades que eventualmente podem
ser encontrados em um servidor convencional (por conta de uma falha em outro
software, por exemplo) (Infowester, 2013)”.
A figura 4 mostra um modelo de firewall de hardware da Cisco.

14
Figura 4: Firewall de hardware Cisco Modelo ASA 5510 (Cisco ASA 5510,
2005)
Arquitetura dos Firewalls
Os firewalls podem ser implementados de várias formas para atender às mais
diversas necessidades. Este aspecto leva a outra característica importante do
assunto, que é a arquitetura em que eles são construídos ou implementados.
“Quando o assunto em destaque é a arquitetura, refere-se à forma como o firewall
é projetado e implementado. Há, basicamente, três tipos de arquitetura referente a
firewalls (Infowester, 2013)”. Que serão explicadas a seguir.
Arquitetura Dual-Homed Host
“Nesta modalidade, há um computador chamado dual-homed host que fica entre
uma rede interna e a rede externa - normalmente, a Internet. O nome se deve ao
fato de este host possuir ao menos duas interfaces de rede, uma para cada "lado"
da conexão.
Perceba que não há outro caminho de comunicação, portanto, todo o tráfego passa
por este firewall, não havendo acesso da rede interna para a rede externa (e vice-
versa) diretamente (Infowester, 2013)”. A principal vantagem desta arquitetura é
que há grande controle do tráfego de dados. Por outro lado, como desvantagem
mais considerável, é que qualquer problema com o dual-homed, uma invasão, por
exemplo, pode colocar em risco a segurança de toda a rede ou mesmo paralisar o
tráfego. Assim, o seu uso pode não ser adequado em redes cujo acesso à Internet,
por exemplo, é imprescindível.
“Este tipo de arquitetura é bastante utilizado para firewalls do tipo proxy
Arquitetura Screened Host
“Na arquitetura Screened Host, em vez de haver uma única máquina servindo de
intermediadora entre a rede interna e a rede externa, há duas: uma que faz o papel
de roteador (screening router) e outra chamada de bastion host.

15
O bastion host atua entre o roteador e a rede interna, não permitindo comunicação
direta entre ambos os lados. Perceba então que se trata de uma camada extra de
segurança: a comunicação ocorre no sentido rede interna - bastion host -
screening router - rede externa e vice-versa (Infowester, 2013)”, como
representado pela figura 5.
Figura 5: Arquitetura Screened Host (Infowester, 2013)
“O roteador normalmente trabalha efetuando filtragem de pacotes, sendo os filtros
configurados para redirecionar o tráfego ao bastion host. Este, por sua vez, pode
decidir se determinadas conexões devem ser permitidas ou não, mesmo que
tenham passado pelos filtros do roteador (Infowester, 2013)”.
O bastion host precisa ser bem protegido, fato que o torna um dispositivo crítico
nesta arquitetura, pois caso contrário, a segurança da rede interna estará em risco
ou ainda poderá torná-la inacessível, caso o bastion host sofra algum tipo de
indisponibilidade da sua função.
Arquitetura Screened Subnet.
A arquitetura Screened Subnet também conta com a figura do bastion host, mas
este fica dentro de uma área isolada denominada DMZ, sigla para Demilitarized
Zone, em português, Zona Desmilitarizada.
“A DMZ, por sua vez, fica entre a rede interna e a rede externa. Acontece que,
entre a rede interna e a DMZ há um roteador que normalmente trabalha com
filtros de pacotes. Além disso, entre a DMZ e a rede externa há outro roteador do
tipo (Infowester, 2013)”. Como representado pela figura 6.
Figura 6: Arquitetura Screened Subnet (Infowester, 2013)

16
“Note que esta arquitetura se mostra bastante segura, uma vez que, caso o invasor
passe pelo primeiro roteador, terá ainda que lidar com a zona desmilitarizada.
Esta, inclusive, pode ser configurada de diversas formas, com a implementação de
proxies ou com a adição de mais bastion hosts para lidar com requisições
específicas, por exemplo (Infowester, 2013)”.
O nível segurança e a flexibilidade de configuração fazem da Screened Subnet
uma arquitetura mais complexa e consequentemente traz uma desvantagem, pois
ela se torna mais cara de ser implementada.
Limitações dos Firewalls
Apesar de os firewalls serem soluções de segurança avançada para a proteção de
uma rede, eles apresentam limitações que devem ser tratadas com outras soluções
de segurança, como a implementação de políticas de segurança para controlar o
fator humano, por exemplo.
Desse modo, podemos ressaltar seguintes limitações:
 Um firewall pode oferecer a segurança desejada, mas comprometer
o desempenho da rede. Esta situação pode gerar mais gastos para
uma ampliação de infraestrutura capaz de superar o problema.
 A verificação das políticas configuradas tem que ser revista de
tempo em tempo para não prejudicar o funcionamento de novos
serviços implementados.
 Firewalls podem não ser capazes de impedir uma atividade
maliciosa que se origina da rede interna e se destina a ela própria.
 Firewalls podem não ser capazes de identificar uma atividade
maliciosa que acontece por descuido de usuário, por exemplo,
quando ele acessa um site falso na Internet ao clicar em um link
dentro de e-mail recebido.
 Firewalls precisam ser constantemente monitorados. Malwares ou
atacantes experientes podem tentar descobrir ou explorar brechas
de segurança e caso os logs do firewall não sejam acompanhados,
tais falhas exploradas não serão percebidas.
 Um firewall não pode interceptar uma conexão que não passa por
ele. Se, por exemplo, um usuário acessar a Internet em seu
computador a partir de uma conexão 3G com o intuito de burlar as
regras de segurança, o firewall não conseguirá interferir.

17
O Netfilter e Suas Características
“O Linux utiliza-se de um recurso independente em termo de kernel para controlar
e monitorar todo o tipo de fluxo de dados dentro de sua estrutura operacional. Mas
não o faz sozinho, pois sua função deve ser a de trabalhar ao lado de processos e
tarefas tão somente.
Para que o kernel pudesse então controlar seu próprio fluxo interno lhe fora
agregada uma ferramenta batizada de Netfilter.
Criado por Marc Boucher, James Morris, Harald Welte e Rusty Russel, o Netfilter
é um conjunto de situações de fluxo de dados agregadas inicialmente ao kernel do
Linux e dividido em tabelas.
Sob uma ótica mais “prática”, podemos ver o Netfilter como um grande banco de
dados que contém em sua estrutura 3 tabelas padrões: Filter, Nat e Mangle. Cada
uma dessas tabelas contém regras direcionadas a seus objetivos básicos.
A tabela Filter, por exemplo, guarda todas as regras aplicadas a um firewall do
tipo filtro de pacotes.
A tabela Nat, as regras direcionadas a um firewall do tipo Nat e a Mangle, a
funções mais complexas de tratamento de pacote, como o ToS (Type of Services).
Todas as tabelas possuem situações de fluxo (entrada, saída, redirecionamento,
etc.) que lhes proporcionam a realização de seus objetivos.
A tabela Filter, por exemplo, que guardará as regras ligadas a um firewall de filtro
de pacotes, contém três modelos de situações de fluxo: INPUT (Entrada)
OUTPUT (Saída) e FORWARD (Encaminhamento). Esta tabela possui somente
estes três modelos devido ao fato de ela não precisar de mais nenhuma situação
agregada a si para que possa vir a funcionar perfeitamente. Este conceito também
pode ser atribuído a todas as demais tabelas do Netfilter (Neto, U., 2004)”.
A figura 7 ilustra os caminhos os quais os pacotes podem seguir, de acordo com o
tratamento do kernel.

18
Figura 7: Diagrama de fluxo de pacotes (Fluxo dos pacotes, 2013)
A tabela Filter
“É a tabela padrão do Netfilter e trata das situações implementadas por um
firewall filtro de pacotes. Estas situações são:
 INPUT
Tudo o que entra no host.
 OUTPUT
Tudo o que sai do host.
 FORWARD
Tudo o que chega ao host, mas deve ser redirecionado a
um host secundário ou outra interface de rede (Neto, U.,
2004)”.
A tabela Nat
“Esta tabela implementa funções de NAT (Network Address Translation) ao host
firewall. Suas situações são:
 PREROUTING
Utilizada quando há necessidade de se fazer alterações em
pacotes antes que os mesmos sejam roteados.
 OUTPUT
Trata os pacotes emitidos pelo host firewall.

19
 POSTROUTING
Utilizado quando há necessidade de se fazer alterações em
pacotes após o tratamento de roteamento (Neto, U., 2004)”.
A tabela Mangle
“Implementa alterações especiais em pacotes em um nível mais complexo. A
tabela Mangle é capaz, por exemplo, de alterar a prioridade de entrada e saída de
um pacote baseado no ToS (Type of Service) o qual o pacote se destinava. Suas
situações são:
 PREROUTING
Modifica pacotes dando-lhes um tratamento especial antes
que os mesmos sejam roteados.
 OUTPUT
Altera pacotes de forma “especial” gerados localmente
antes que os mesmos sejam roteados (Neto, U., 2004)”.
Ao fazer a análise do fluxo de dados do kernel do Linux, se torna mais fácil
entender o seu funcionamento. “Um host para fazer parte de uma rede (e até
mesmo para a Comunicação Intraprocessual) precisa das chamadas situações
(chains) de entrada (INPUT) e saída (OUTPUT) (Neto, U., 2004)”. Se agregada
ainda uma nova situação (chain), a de redirecionamento, ou simplesmente
encaminhamento (FORWARD), se torna possível também a manipulação do que
é redirecionado ou encaminhado a outros hosts e assim por diante.
É importante levar consideração que tais situações o kernel implementa, são
denominadas chains, em português, cadeias. Logo, uma situação de entrada,
tratar-se, na verdade, de uma INPUT chain, e assim sucessivamente.
“As tabelas mencionadas acima, nos possibilitam controlar todas as situações
(chains) de um host. Porém, para que a possamos vir a moldar o Netfilter
conforme nossas necessidades, levando em consideração que o mesmo deve estar
compilado com o kernel, precisamos de uma ferramenta que nos sirva de Front-
End nesta tarefa, esta ferramenta é o Iptables, implementado no kernel do Linux a
partir da versão 2.4 (Neto, U., 2004)”.

20
Principais características
Como principais características, o Iptables, além de realizar suas tarefas de forma
veloz, segura, eficaz e econômica, tanto no aspecto financeiro quanto no de
requerimento de hardware, que serão tratados mais afundo posteriormente neste
trabalho, nos dá um amplo leque de possibilidades, tais como a implementação
desde filtros de pacotes até controles mais específicos, como o desenvolvimento
de QoS (Quality of Service) sobre o tráfego da rede.
“O Iptables também tem suporte a SNAT e DNAT, redirecionamento de
endereçamento e portas, mascaramento de conexões, detecção de fragmentos,
monitoramento de tráfego, bloqueio a ataques, como Spoofing, Synflood, DoS
(Denial of Service), scanners ocultos, “pings da morte”, entre muitos outros
(Neto, U., 2004)”.
Ele apresenta ainda a opção de utilizar módulos externos na composição de regras,
o que amplia ainda mais a funcionalidade do mesmo.
“Quando se fala de requerimento de hardware, o Iptables é bastante generoso,
necessitando apenas de um computador sobre a arquitetura 386, com
aproximadamente 4MB de RAM, e é claro, um Linux com kernel 2.4 ou superior.
Claro que este é o básico para que ele funcione, sendo necessário modificar a
configuração de hardware de acordo com o escopo de uso da ferramenta.
Por estar incorporado diretamente ao kernel, a configuração do Iptables não se dá
por vias de arquivos de configuração, ao contrário, sua manipulação é realizada
por síntese digitada em shell via prompt de comando ou scripts (Neto, U., 2004)”.
Outra característica do Iptables é a maneira como as regras dos filtros são
configuradas, que por sinal, é muito parecida com a maneira de configurar as
regras no IOS da Cisco. Elas são digitadas no shell, que é, basicamente, “um
módulo que atua como interface usuário - sistema operacional no Linux,
possuindo diversos comandos internos que permitem ao usuário solicitar serviços
do sistema operacional (Linux Shell, 2013)”. Estas regras estarão valendo tão
somente para aquela sessão ativa na memória, sendo que uma vez reiniciado ou
desligado o host firewall, tais regras se perdem e não mais poderão ser resgatadas,
a menos que estejam configuradas em algum arquivo de inicialização do Linux,
como o /etc/init.d/rc.local ou salvá-las utilizando o comando iptables-save.
“Para compreendermos melhor este conceito, estudemos a forma de
comportamento do sistema operacional IOS da Cisco, com relação ao
arquivamento de suas configurações.
Quando configuramos o IOS, em um determinado momento, tudo o que estamos a
configurar é salvo tão somente na memória RAM, ou simplesmente um processo
conhecido como running-configuration, que é a configuração que está rodando
na máquina Cisco naquele momento.

21
Para que tal configuração, até então salva apenas na memória RAM, seja
arquivada para um disco, por exemplo, devemos copiá-la para o que conhecemos
como startup-configuration, que é a configuração ativada quando se liga o
dispositivo (Neto, U., 2004)”.
Assim, se você configurar um roteador e no fim esquecer de salvar o que fez na
startup-configuration, você estará irá perder tudo mediante a um reboot
operacional ou inesperado, afinal, a memória RAM é volátil e ela se esvazia a
cada nova inicialização do dispositivo. Em compensação, se você fizer algo de
errado durante uma configuração basta não salvar nada e reiniciar o sistema, o que
é um ponto positivo sob esta visão.
“O Iptables funciona de forma similar à citada acima. No momento em que
realizamos alguma implementação no firewall utilizando o mesmo, ele estará
apenas salvando as configurações na RAM no computador.
Existe porém, agregado ao Iptables, uma função denominada “iptables-save” que
faz muito bem o papel do “startup-configuration” do IOS, salvando suas regras
no disco e resgatando-as mediante de uma reinicialização do sistema operacional
(Neto, U., 2004)”.
Como dito anteriormente, também é possível substituir o iptables-save por um
shell script que contenha as regras a serem inseridas no sistema. Este arquivo
pode ser posto para iniciar juntamente com o sistema operacional, por exemplo,
no arquivo já mencionado /etc/init.d/rc.local.
Vantagens e desvantagens
“No Linux, as funções de firewall são agregadas à própria arquitetura do kernel,
isso o torna, muito superior aos concorrentes. Enquanto a maioria dos “produtos”
firewall pode ser definida como uma aplicação ou subsistema, o Linux tem a
capacidade de se transformar no próprio firewall.
Tudo que chega ou sai de um host é processado pelo seu kernel, independente do
Sistema Operacional. O que o Linux faz de diferente é agregar, via Netfilter, que é
um, funções de controle de fluxo interno em termos de firewall.
No Linux você não precisará comprar um firewall corporativo caríssimo para
proteção da rede. Tenha em mente que o Iptables é considerado um dos firewalls
mais seguros existentes na atualidade, e o melhor, é gratuito e possui código
aberto (Neto, U., 2004)”.
Entretanto a vantagem do Iptables de possuir código aberto é também uma
desvantagem, pois isso permite que qualquer pessoa possa abrir o código e
explorar falhas de desenvolvimento e utilizar-se disso para atacar firewalls deste
tipo.

22
O Cisco IOS e Suas Características
"O Cisco IOS (Internetwork Operating System) é um sistema operacional
multitarefa usado na maioria dos roteadores e switches Cisco. Ele apresenta
funções de roteamento, comutação, comunicação segura entre redes (VPN) e
telecomunicações.
As primeiras versões do IOS, eram um sistema único, fundamentalmente voltado
para o roteamento. Ele era organizado como um conjunto de procedimentos, que
permitiam serem chamados por qualquer um deles. Essa estrutura não garantia o
ocultamento dos dados trafegados.
As versões 9.21 até a 11.2 representam esforços de engenharia para redesenhar o
IOS em componentes ou subsistemas modulares. Organizado como um conjunto
de camadas, cada subsistema passou a oferecer um ponto de entrada independente
para o código do sistema.
Os próprios subsistemas são definidos como módulos discretos que suportam
várias funções dentro do sistema integrado (kernel). Este desenho de subsistema
em camadas permitiu a engenharia particionar o IOS em um conjunto de funções
mais fáceis de se manipular e atualizar.
A partir disso, a evolução do IOS gerou módulos de configuração mais bem
elaborados, o que permitiu que as suas funções se tornassem bem definidas, sem
que houvesse dependência de outras funções ou subsistemas. Fato este que
permite que as soluções onde o IOS é empregado a se adaptem especificamente às
necessidades do consumidores (Características do Cisco IOS, 2013)”.
O gerenciamento do IOS pode ser feito através de uma interface gráfica presente
nos dispositivos em que ele está inserido, normalmente na forma de uma página
web, mas também possui um aplicativo denominado SDM para roteadores e
ASDM para o ASA. Há também a interface de linha de comando, normalmente
mais utilizada, devido ser mais objetiva, entretanto direcionada para profissionais
experientes, por não ser intuitiva.
“O IOS apresenta diferentes versões, cada uma delas contendo recursos e
aplicações diferentes, são elas:
 Roteamento e comutação de pacotes IP;
 Voz sobre IP;
 Segurança de redes.
A versão de Segurança do IOS, implementa um firewall stateful, feito com base
nos padrões PCI de segurança. É um sistema operacional feito exclusivamente
para este fim e é encontrado em hardwares fechados, chamados de appliances
(Características do Cisco IOS, 2013)”. No caso, iremos utilizar como base de
referência o Cisco ASA (Adaptive Security Appliance), modelo 5510.

23
Visão geral sobre os dispositivos ASA
“O Cisco ASA é uma família de dispositivos construídos especificamente para
uma aplicação de segurança de rede. Ele se originou do PIX (Private Internet
eXchange) que é também um dispositivo da Cisco, mas diferentemente do ASA,
que além de firewall e network address translator, ele pode possuir as funções de
VPN e IPS (Intrusion Prevention System), o PIX só fazia a função de firewall e de
network address translator (Moraes, A., 2011)”.
“O modelo 5510, foi desenvolvido para atender as necessidades de segurança de
rede de negócios de pequeno e médio porte e também para uso em escritórios
filiais de empresas maiores. Ele possui funções avançadas de firewall e pode
estabelecer redes privadas virtuais, que são as chamadas VPN’s (Virtual Private
Networks). Opcionalmente, através da instalação de módulos, ele também pode
ser utilizado como como Anti-X, que é um sistema que unifica antivírus, anti-
spyware, bloqueio de arquivos, anti-spam, anti-phishing, proxy e filtragem de
conteúdo, e como IPS. Entretanto, estes módulos são comprados a parte, com
licenças separadas.
Licenças estas que liberam diferentes níveis de acesso as capacidades do
dispositivo, por exemplo, a licença Security Plus habilita o modelo 5510 suporte a
trabalhar com VLAN’s (Virtual Local Area Networks) em redes que possuem esse
tipo de segmentação nos seus switches. Esta licença altera também o número
máximo de conexões VPN’s concorrentes ativas para acesso remoto de usuário e
interligações do tipo site-to-site (Santos, O., Frahim, J., 2009)”.
A figura 8 faz uma comparação entre as licenças que podem ser instaladas no
modelo 5510:

24
Figura 8: Licenças aplicáveis no ASA 5510 (Santos, O., Frahim, J., 2009)
É importante entender a maneira como o ASA faz o tratamento dos pacotes que
passam por ele, abaixo segue uma descrição deste processo.
“A interface que recebe o pacote da rede chamada inside, que é a rede local, é
chamada de interface de ingresso e a interface pela qual o pacote sai para a rede
chamada outside, que é a rede pública, é chamada de interface de egresso
(Algoritmo do ASA, 2013)”.
A figura 9 faz uma representação deste cenário:
Figura 9: Representação das redes no ASA (Algoritmo do ASA, 2013)
Quando um usuário da rede inside (192.168.10.5) tenta acessar um servidor web
na rede DMZ (172.16.10.5), o cabeçalho do pacote, basicamente, se apresenta da
seguinte maneira:
 Endereço de origem – 192.168.10.5

25
 Porta de origem – 22966
 Endereço destino – 172.16.10.5
 Porta destino – 8080
 Interface de ingresso – Inside
 Interface de egresso – DMZ
 Protocolo usado – DMZ
“Com isso, podemos entender melhor o processo do algoritmo que o ASA utiliza
para fazer o tratamento deste pacote (Algoritmo do ASA, 2013)”. A figura 10
representa um diagrama de como ele faz esse processamento:
Figura 10: Processo do algoritmo do ASA (Algoritmo do ASA, 2013)
Na etapa 1, o pacote chega na interface de ingresso.
Na etapa 2, uma vez que o pacote atinja o buffer interno da interface, o contador
de entrada da interface é incrementado por um.
Na etapa 3, o ASA irá primeiro verificar se esta é uma conexão existente,
checando os detalhes da tabela de conexões internas. Se o fluxo do pacote
corresponde a uma conexão existente, então a verificação da lista de controle de
acesso (ACL – Access Control List) é checada e o pacote segue em frente.
Se o fluxo de pacote não corresponder a uma conexão existente, o estado TCP é
verificado. Se for um pacote SYN ou UDP, o contador de conexão é incrementado
por um, e o pacote é enviado para ser verificado por uma ACL. Se não for um
pacote SYN, o pacote é descartado e o evento é registrado.
Na etapa 4, o pacote é processado pelas ACLs da interface. Ele é processado
sequencialmente de acordo com as entradas das ACLs e se ele corresponder a
qualquer uma delas, ele é movido pra frente. Caso contrário, o pacote é descartado
e as informações são registradas. A contagem de “acerto” de ACL será
incrementada por um quando o pacote corresponde à entrada ACL.
Na etapa 5, o pacote é verificado pelas regras de tradução. Se um pacote passa
através desta verificação, então uma entrada de conexão é criada por este fluxo e o
pacote se move para a frente. Caso contrário, o pacote é descartado e as
informações são registradas.

26
Na etapa 6, o pacote é submetido a uma inspeção. Essa inspeção verifica se este
fluxo de pacotes específicos estão em conformidade com o protocolo utilizado ou
não. O ASA tem um motor de inspeção implementado nele que inspeciona cada
conexão de acordo com o seu conjunto pré-definido de funcionalidades em nível
de aplicação. Se o pacote passou a inspeção, ele é movido para a frente. Caso
contrário, o pacote é descartado e as informações são registradas.
Verificações adicionais de segurança serão implementadas se um módulo CSC
está envolvido.
Na etapa 7, as informações do cabeçalho IP são traduzidas conforme a regra
NAT/PAT e checksums são atualizados. O pacote é enviado ao AIP-SSM para
verificações de segurança relacionadas com a IPS, quando o módulo AIP está
envolvido.
Na etapa 8, o pacote é encaminhado para a interface de egresso com base nas
regras de tradução. Se nenhuma interface de egresso é especificada na regra de
tradução, a interface de destino é decidida com base na pesquisa de roteamento
global.
Na etapa 9, na interface de egresso, uma pesquisa de roteamento de interface é
executada. Lembrando que a interface de egresso determinada pela regra de
tradução que terá a prioridade.
Na etapa 10, uma vez que uma rota foi encontrada e o próximo salto identificado,
a resolução de camada dois é executada. Uma reescrita de cabeçalho MAC
acontece nesta fase.
Na etapa 11, o pacote é transmitido no cabo, e contadores de interface são
incrementados na interface de egresso.
Vantagens e desvantagens
A Cisco tem uma visão mais abrangente sobre o significado de segurança da
informação, sendo assim, ela propõe um sistema de defesa em camadas, no qual,
cada componente desenvolve um papel diferente e colabora com os outros
elementos da rede.
A série 5500 do Cisco ASA vêm com serviços de segurança de alta performance
integrados dentro do seu sistema, que incluem, firewall, além de antivírus, anti-
phishing, anti-spam e serviços de filtragem de conteúdo da web. Possui também a
capacidade de implementar VPNs do tipo IPSec e IPS.
Quando todas essas funções são combinadas com a sua tecnologia de tempo real,
você agrega uma segurança a nível da camada de aplicação. Com isto você mitiga
a proliferação de worms e aumenta a proteção contra malwares.

27
Este tipo de firewall ajuda a melhorar a produtividade geral dos empregados com
funções como controle ponto-à-ponto, mensageiro instantâneo e implementação
de um site de trabalho mais seguro, no caso da utilização da conexão remota de
usuário.
“A primeira desvantagem deste firewall é que, por exemplo, a série 5580, foi
desenhada somente para desempenhar o papel de firewall e de VPN, de maneira
que outras funções como IPS, IDS (Intrusion Detection System) e balanceamento
de carga não se apresentam configuráveis neste modelo e atualmente no mercado,
há várias outras soluções de firewall que apresentam todas essas funções em um
único sistema e algumas destas soluções, são gratuitas e distribuídas de modo
open source.
Outra desvantagem deste sistema de firewall é o fato de que como ele se apresenta
em um hardware fechado, caso você necessite implementar novas funções, como
por exemplo IPS ou configurar VLANs, você não conseguirá fazê-lo, a menos que
compre um outro modelo que apresente estas funções ou uma outra licença. Ao
contrário do Linux, por exemplo, por ser um sistema aberto e configurável
praticamente em qualquer hardware, basta adicionar módulos de configuração e a
nova função poderá ser utilizada, com pouco ou nenhum investimento financeiro.
A série ASA 5500 também não pode agendar e receber atualizações de software
automaticamente da Cisco em tempo real. Mesmo que ela apresente uma solução
de defesa estruturada, ela não possui uma função de recebimento de atualização
no momento, algo que alguns concorrentes oferecem, como o próprio Linux ou o
SonicWALL da Dell (Advantages and Disadvantages of Cisco Firewall, 2013)”.
Custos e Tempo de Implantação das Soluções
Para fazer este estudo, levei em consideração como escopo dois escritórios de uma
empresa que estão ligados entre si através de duas VPNs, uma estabelecida entre
servidores Linux e a outra entre um Cisco ASA 5510 e um roteador Cisco 881.
Juntos, estes escritórios possuem, em média, 200 computadores entre estações de
trabalho e servidores. Cada escritório possui um link dedicado de internet banda
larga de 10 Mbps para comunicação com a rede externa.
Para o levantamento de custos, foi utilizada uma metodologia simplificada, com
um espaço amostral pequeno, devido ao fato de que o foco principal deste
trabalho reside mais na análise técnica das soluções de firewall do que em adquirir
várias cotações diferentes para os mesmos, pois normalmente as empresas buscam
implantar as soluções o mais rápido possível, com o menor custo, sem aguardar a
resposta de muitos fornecedores, pois isto pode levar um tempo excessivo e
atrapalhar no cronograma dos projetos.
E como este trabalho foi feito levando em consideração o mundo comercial, me
ative em seguir suas regras e boas práticas.

28
Para os materiais, foram feitas 3 cotações em fornecedores com loja física e em
fornecedores que vendem por e-commerce em sites na Internet. Todos os
fornecedores foram encontrados através de pesquisa na Internet. Para adquirir os
valores dos equipamentos, troquei e-mails com estes fornecedores que me
responderam com os dados ou então retirei estes valores diretamente dos sites dos
que vendem via e-commerce.
Para as informações referentes às consultorias de implantação, pesquisei na
Internet por consultores, tanto Linux quanto Cisco, que trabalham na região de
Jundiaí e lhes enviei e-mails explicando o escopo do projeto e perguntando quanto
custaria para fazer tal implantação e quanto tempo levariam.
Todas as cotações de material podem ser verificadas no anexo A e os e-mails
trocados com os consultores podem ser verificados no anexo B.
Servidor Linux com Netfilter/Iptables
Para fazer esta implantação, serão utilizados dois servidores HP ML310e G8 (um
para cada escritório), por serem máquinas, que atualmente, apresentam uma
excelente configuração de hardware por um preço consideravelmente baixo.
Se faz necessário a utilização de duas interfaces de rede por servidor (uma que
serve à rede interna e outra que serve à rede externa). Com isto, também é
necessário a compra de duas placas de rede off-board, uma para cada servidor,
pois cada máquina só conta de fábrica com uma interface de rede, on-board.
A tabela 1 apresenta informações sobre o custo de implantação de uma solução
Linux com Netfilter/Iptables. Está apresentado nela o valor da cotação que
possuía o produto a pronta entrega, encontrado entre as cotações que foram feitas.
Bem como o valor da consultoria do consultor Linux e o tempo que levaria para a
implantação do projeto.
Item Quantidade Preço unitário
(em média)
Total
Servidor HP
ML310e G8
2 un. R$1.815,45 R$3.630,90
Placa de rede
HP NC112T PCI
Express
2 um. R$200,00 R$400,00
Consultoria
para
implantação
8 horas R$3.500,00 R$3.500,00
Tabela 1: Preços de implantação de um firewall Netfilter/Iptables
Total do investimento inicial: R$7.530,90.

29
Cisco ASA e roteador Cisco 881
Para fazer esta implantação, serão utilizados um firewall Cisco ASA 5510, que
ficará em um dos escritórios e um roteador Cisco 881, que ficará no outro. Os
equipamentos Cisco, como já mencionado, são hardwares fechados e já possuem
integrados à eles mais de uma interface de rede por dispositivo, visando
justamente abranger tanto a rede interna quanto a externa.
A tabela 2 apresenta informações sobre o custo de implantação de uma solução
Cisco. Está apresentado nela o valor da cotação que possuía o produto a pronta
entrega, encontrado entre as cotações que foram feitas. Bem como o valor da
consultoria do consultor Cisco e o tempo que levaria para a implantação do
projeto. Os valores da tabela estão em BRL, convertidos da cotação que estão em
USD, utilizando o valor de dólar de R$2,33.
Item Quantidade Preço unitário
(em média)
Total
Cisco ASA
5510
1 un. R$11.883,00 R$11.883,00
Roteador
Cisco 881
1 um. R$2.495,43 R$2.495,43
Consultoria
para
implantação
8 horas R$1.200,00 R$1.200,00
Tabela 2: Preços de implantação de um firewall Cisco ASA
Total do investimento inicial: R$15.578,43.
Com estes dados, é possível perceber que o custo de implantação de um firewall
Linux foi em torno de 48,3% menor em relação ao custo de implantação de um
firewall Cisco para este caso.
Testes de Negação de Serviço
Nenhum sistema de segurança é 100% à prova de falhas ou abrange todos os
meios de acesso à uma rede, como já mencionado. Mediante a este fato, esta etapa
do trabalho visa testar a resiliência de ambas soluções.
Descrição do laboratório de testes
Foram utilizados no teste:
 Um servidor Linux como máquina alvo dos ataques.
 Um servidor Linux como firewall Netfilter/Iptables.
 Um firewall Cisco ASA.

30
 Um computador atacante.
Características gerais do laboratório
O objetivo geral desta parte do trabalho foi observar e comparar o comportamento
de cada solução de firewall em face aos ataques mais comuns realizados por
hackers.
A tabela 3 organiza por grupo estes ataques:
Grupo Tipo de ataque Descrição
Descobrimento dos
dispositivos
Sniffer de rede
Documenta o descobrimento do
endereço IP do alvo e qualquer
outra informação utilizável sobre
a rede atacada.
Traçar rota
Tenta localizar o servidor alvo e
os dispositivos de rede
intermediários, como roteadores e
switches.
DOS
Synflood
Usado para ver se o firewall pode
suportar um pedido de conexão
aberta repetidamente e também
registrar o ataque.
Garbage
suportar o recebimento de vários
pacotes de dados aleatórios em
portas aleatórias.
Ping UDP
suportar um grande pacote UDP
de ping enviado a ele.
Ping TCP
suportar um grande pacote TCP
de ping enviado a ele.
Ping da “morte”
suportar um único pacote com
enorme proporção enviado a ele.
Tabela 3: Descrição dos ataques (Avaliando Firewalls, 2013)
A estrutura geral para estes testes foi desenvolvida a partir da perspectiva de um
atacante de fora da rede. Devido a este fato, a rede alvo possui acesso público a
ela.

31
Foi colocado um servidor de aplicação web dentro da rede alvo com acesso
externo liberado (Internet), isso dá ao atacante um meio de descobrir o endereço
IP do servidor web para que seja possível iniciar o ataque.
Ambos firewalls foram configurados com política padrão para bloquear todas as
portas, menos a porta 80 (Protocolo HTTP).
Devido a Lei Federal nº 12.737, serão apresentados apenas os procedimentos
básicos de cada teste.
Teste com sniffer de rede
Primeiramente foi feito um teste de sniffer de rede, que consiste em se utilizar
uma ferramenta que executa uma varredura geral na rede alvo, que retorna várias
informações necessárias para se realizar qualquer tipo de ataque. Com isto pode-
se adquirir o endereço IP do alvo, no caso, o servidor de aplicações web.
Para tal, foram utilizados dois aplicativos, o Wireshark que é um software que
faz essa varredura geral e o Nmap que é um software que procura portas abertas
em determinado IP alvo.
As figuras 11 e 12 exemplificam respectivamente a utilização destes softwares:
Figura 11: Utilização do Wireshark

32
Figura 12: Utilização do Nmap
Devido ao fato de o IP público da rede ser conhecido, foi possível descobrir que a
porta 80 estava aberta passando ambos os firewalls.
Teste com traçada de rota
“A traçada de rota é um teste para determinar a rota usada para se alcançar o
servidor alvo. Este procedimento também tenta verificar se há outros endereços de
IP, de qualquer outro dispositivo de rede intermediário, que direcione para o
mesmo alvo (Avaliando Firewalls, 2013)”.
Este teste não revelou a rota, nem nenhum dispositivo intermediário entre o
atacante e o servidor alvo. Devido ao fato de que o encaminhamento de pacotes
ICMP (Internet Control Message Protocol) estarem bloqueados em ambos os
firewalls. Este teste também foi realizado com o Nmap, como mostrado pela
figura 13.

33
Figura 13: Traçando rota com Nmap
Teste com ataque do tipo Synflood
“Este procedimento visa observar como o firewall se comporta quando recebe
grandes quantidades de requisições do tipo SYN, o que caracteriza um ataque de
Synflood (Avaliando Firewalls, 2013)”.
Neste teste foi utilizado o software Netwag que é uma ferramenta para simulação
deste tipo de ataque. Em ambos os firewalls o ataque foi suportado, pois os
pacotes maliciosos foram descartados.
Teste com ataque do tipo Garbage
“Este procedimento visa observar como o firewall se comporta quando recebe
vários pacotes com tipos aleatórios de dados em portas aleatórias, o que
caracteriza um ataque de Garbage (Avaliando Firewalls, 2013)”.
Neste teste também foi utilizada a ferramenta Netwag. Em ambos os firewalls o
ataque foi suportado, pois os pacotes maliciosos foram descartados devido todas
as portas, menos a 80 estarem bloqueadas.

34
Teste com ataque do tipo ping UDP
“Este procedimento visa observar como o firewall se comporta mediante ataques
com ping que utiliza o protocolo UDP (Avaliando Firewalls, 2013)”.
ataque foi suportado, os pacotes maliciosos foram descartados.
Teste com ataque do tipo ping TCP
com ping que utiliza o protocolo TCP (Avaliando Firewalls, 2013)”.
ataque foi suportado, os pacotes maliciosos foram descartados.
Procedimento do teste com ataque do tipo ping da “morte”
que enviam pacotes com tamanhos imensos (Avaliando Firewalls, 2013)”. Para
tal, foram utilizados pacotes ICMP de 65,5MB cada.
As duas soluções de firewall suportaram o ataque, sendo capazes de bloquear a
grande quantidade de dados recebida pela interface de rede.
A figura 14 mostra como é o retorno de um ping normal.
Figura 14: Ping comum

35
A figura 15 mostra como é o retorno de um ping da “morte”, note que não há
resposta, pois o firewall descartou o pacote no seu recebimento. Ambos firewalls
se comportaram da mesma maneira.
Figura 15: Ping da “morte”
Resultados obtidos
Após analisar os dados coletados com a execução dos testes acima, foi possível
comparar a eficácia das soluções em resistir aos ataques recebidos por elas.
Informações mais detalhadas de cada solução podem ser verificadas abaixo.
Resultados com o Cisco ASA.
Independentemente de qual porta o ataque utilizou, com a inspeção de pacotes
stateful ativada, o Cisco ASA bloqueou todas as transmissões em todos os testes
que foram realizados. O ASA também continuou a permitir que as conexões
adequadas que não foram consideradas como um ataque durante os testes. O ASA
bloqueou com sucesso os pacotes tanto de entrada quanto de saída. Um dos
poucos problemas com o ASA foi encontrar a documentação adequada para fazer
as configurações, afinal, o ASA foi projetado para ser utilizado por profissionais
especializados e não usuários domésticos comuns.
Resultados com o Netfilter/Iptables.
O Netfilter/Iptables apresentou o poder e o potencial do ASA, só que com a
vantagem de ser gratuito. Quanto ao desempenho, o Netfilter/Iptables realizou sua
função tão bem quanto o Cisco ASA no bloqueio de pacotes indesejados de
entrada ou de saída. Ele também manteve os arquivos de log detalhados de cada
ataque, que eram fáceis de ler se você tiver um mínimo de conhecimento de redes.
Entretanto, ele não fornece qualquer tipo de análise dos ataques registrados em
modo gráfico, o ASA, por outro lado, possui esta função.

36
O principal problema encontrado na utilização do Netfilter/Iptables é o fato de que
você pode precisar de apoio profissional para fazer as configurações, pois elas são
todas feitas através de linha de comando e não são comandos intuitivos de serem
redigidos, foi necessário empreender um certo tempo de análise em como usar
corretamente as suas funções. Mas não tive dificuldade em encontrar ajuda, pois
encontrei com facilidade o apoio da comunidade de software livre na Internet,
bem como uma documentação detalhada a respeito de como realizar as
configurações. Este firewall também faz inspeções de pacotes stateful ou stateless,
lembra sessões, e modula a sessão para ajudar a prevenir que as conexões sejam
sequestradas (ataques do tipo “homen-no-meio”).
Por estar incluso em um sistema operacional, o Netfilter/Iptables tem a capacidade
de trabalhar com outros módulos de segurança gratuitamente, como IDS, IPS e
VPN, sem tem que comprar outro dispositivo, como no caso do Cisco ASA.
6. CONCLUSÃO
O Cisco ASA se comportou como o esperado e é uma excelente escolha se o seu
preço não é um problema. O fato de possuir relatórios gráficos permite analisar de
maneira rápida os status do firewall e tomar decisões mais eficazes.
Para a eficácia de custos e recursos, o Netfilter/Iptables presente no Linux é uma
excelente escolha, por permitir a agregação de módulos de segurança sem custos
adicionais, característica ausente no ASA, pois ele, por possuir um hardware e
sistema operacional fechados, você deve comprar equipamentos diferentes com
configurações diferentes, e quanto mais funções mais caro ele se torna.
Escolher um firewall, então, depende das necessidades da sua empresa ou o que
você deseja controlar dentro da sua rede. Se você tem uma grande rede
corporativa atrás do firewall, ou uma pequena empresa de confecções, vai
depender do quanto você deseja investir numa solução de segurança. O Cisco
ASA atenderá melhor às suas necessidades, se o foco for em ter uma manutenção
barata, pois ele se mostrou mais fácil de ser configurado e apresentou preços de
consultoria de implantação menores em relação ao Iptables. Entretanto se os
custos de equipamento e de licenças forem considerados fora de orçamento, optar
pelo Iptables se torna uma opção melhor, visto que o seu custo de implantação no
geral é menor.
Considerando que ambos os firewalls obtiveram o mesmo desempenho em relação
a segurança, a chave para fazer a melhor escolha é levar em consideração qual o
impacto na sua empresa mediante uma negação de serviço que ela presta ou então
um vazamento de informações sigilosas e o quanto ela chama atenção no mundo
comercial para se tornar um alvo em potencial para hackers. Após essa análise,
cabe aos diretores e ou responsáveis decidirem quanto a empresa está disposta a
investir na segurança da sua informação, analisando os custos dos equipamentos e
o valor do profissional responsável em mantê-los funcionando.

37
7. REFERÊNCIAS ELETRÔNICAS E BIBLIOGRÁFICAS
Advantages and Disadvantages of Cisco Firewall (2013). Advantages and
Disadvantages of Cisco Firewall. [on-line] Disponível em
“http://www.ehow.com/info_10018994_advantages-disadvantages-cisco-asa-
5500-firewall.html”. Acessado em 07/10/2013.
Algoritmo do ASA (2013). ASA Packet Flow. [on-line]. Disponível em
“http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080ba
9d00.shtml”. Acessado em 01/11/2013
Avaliando Firewalls (2013). Evaluating Firewalls. [on-line]. Disponível em
“http://www.oreillynet.com/pub/a/sysadmin/2007/02/15/evaluating_firewalls.html
”. Acessado em 07/10/2013.
BZ Tech (2013). Placa de rede PCI Express HP NC112T. [on-line]. Disponível
em “http://www.bztech.com.br/produtos/detalhe/placa-de-rede-hp-nc112t-pcie-
gigabit”. Acessado em 08/11/2013.
Canonical Ubuntu Desktop (2013). Ubuntu Desktop. [on-line]. Disponível em
“http://www.ubuntu.com/download/desktop”. Acessado em 01/11/2013.
Canonical Ubuntu Server (2013). Ubuntu Server. [on-line]. Disponível em
“http://www.ubuntu.com/download/server”. Acessado em 01/11/2013.
Características do Cisco IOS (2013). Cisco IOS. [on-line]. Disponível em
“http://www.cisco.com/en/US/products/sw/iosswrel/ps1818/products_tech_note09
186a0080135951.shtml”. Acessado em 19/10/2013.
Cisco ASA 55/10 (2013). Cisco Adaptive Security Appliance. [on-line].
Disponível em:
“http://www.cisco.com/cisco/web/support/model/tsd_hardware_asa_model_5510.
html#0”. Acessado em 19/10/2013.
Fluxo dos pacotes (2013). Netfilter package flow. [on-line]. Disponível em
“http://www.sysresccd.org/images/dport-routing-02.png”. Acessado em 10/2013
Fornecedor Miranda (2013). HP ML310e G8. [on-line]. Disponível em
“http://www.miranda.com.br/produtos/computadores,desktop/hp-servidor-hp-
proliant-ml310e-g8-quad-core-xeon-e3-1220-4gb-hd500gb/9370/”. Acessado em
08/11/2013.
GNS3 (2013). Graphical Network Simulator – GNS3. [on-line]. Disponível em
“http://www.gns3.net/download/”. Acessado em 01/11/2013.
Infowester (2013). Definição de firewall. [on-line]. Disponível em
“http://www.infowester.com/firewall.php”. Acessado em 07/10/2013.
Kabum (2013). HP ML310e G8. [on-line]. Disponível em
“http://www.kabum.com.br/produto/40699/servidor-hp-ml310e-gen8-xeon-e3-
1220v2-3-1ghz-714642-s05”. Acessado em 08/11/2013.

38
Linux Shell (2013). Uma introdução ao Shell. [on-line]. Disponível em
“http://www.vivaolinux.com.br/artigo/Uma-introducao-ao-shell-(parte-1)/”.
Acessado em 12/11/2013.
Microsafe ASA (2013). ASA 5510 Appliance with SW, 5FE, 3DES/AES. [on-line].
Disponível em “http://www.microsafe.com.br/asa5510-k8_firewall-cisco-asa-
5510.npn.html”. Acessado em 08/11/2013.
Microsafe Roteador (2013). Cisco 881-K9. [on-line]. Disponível em
“http://www.microsafe.com.br/cisco881-k9_roteador-internet-teleworker-cisco-
881-ethernet-security-router.npn.html”. Acessado em 08/11/2013.
Moraes, A. (2011) Cisco Firewalls Concepts, design and deployment for Cisco
Statefull Firewall Solutions. Cisco Press. 2011.
Netcomputatores (2013). Placa de rede PCI Express HP NC112T. [on-line].
Disponível em “https://netcomputadores.com.br/p/503746b21-placa-de-rede-
hp/5406”. Acessado em 08/11/2013.
Neto, U. (2004) Dominando Linux Firewall Iptables. Ciência Moderna. 2004.
Oppliger, R. (1997) Internet Security: Firewalls and Beyond. Communications of
the ACM, Volume 40. 1997.
Santos, O., Frahim, J. (2009) Cisco ASA, 2nd Edition All-in-One Firewall, IPS,
Anti-X and VPN Adaptive Security Appliance. Cisco Press. 2009
Shop Mania (2013). Cisco 881-K9. [on-line]. Disponível em
“http://www.shopmania.com.br/routers/p-cisco-cisco881-sec-k9-15647650”.
Acessado em 08/11/2013.
ShopTI (2013). ASA 5510 Appliance with SW, 5FE, 3DES/AES. [on-line].
Disponível em
“http://www.shopti.com.br/produtos_cisco/index.php?route=product/product&pro
duct_id=488”. Acessado em 08/11/2013.
Virtual Box (2013). Oracle VM VirtualBox. [on-line]. Disponível em
“https://www.virtualbox.org/wiki/Downloads”. Acessado em 01/11/2013.

39
8. ANEXOS
Anexo A – Cotações dos Equipamentos
Como mencionado na parte de análise de custos, foram feitas 3 cotações para
verificar o valor dos equipamentos utilizados como referência para este trabalho.
As figuras 16, 17, 18, 19 e 20 mostram as 3 diferentes cotações dos materiais
utilizados na implementação do firewall Netfilter/Iptables, isto é, o servidor HP
ML 310e G8 e a placa de rede PCI Express NC112T.
Figura 16: Cotação da empresa A&F incluindo ambos servidores e placas de
rede

40
Figura 17: Cotação da empresa Miranda para o Servidor HP ML 310e G8
(Fornecedor Miranda, 2013)

41
Figura 18: Cotação da empresa Kabum para o Servidor HP ML 310e G8
(Kabum, 2013)

42
Figura 19: Cotação da empresa BZ Tech para a placa de rede HP NC112T
(BZ Tech, 2013)

43
Figura 20: Cotação da empresa BZ Tech para a placa de rede HP NC112T
(BZ Tech, 2013)

44
As figuras 21, 22, 23, 24 e 25 mostram as 3 diferentes cotações dos materiais
utilizados na implementação do firewall Cisco ASA, isto é, o ASA 5510 e o
roteador Cisco 881.
Figura 21: Cotação da empresa Goldnet incluindo ambos Cisco ASA 5510 e o
roteador Cisco 881

45
Figura 22: Cotação da empresa ShopTI para o Cisco ASA 5510 (Shop TI,
2013)

46
Figura 23: Cotação da empresa MicroSafe para o Cisco ASA 5510 (Microsafe
ASA, 2013)

47
Figura 24: Cotação da empresa Microsafe para o roteador Cisco 881
(Microsafe Roteador, 2013)

48
Figura 25: Cotação da empresa ShopMania para o roteador Cisco 881 (Shop
Mania, 2013)

49
Anexo B – Cotações das Consultorias
Como mencionado na parte de análise de custos, pesquisei na Internet por
consultores tanto Linux quanto Cisco, que trabalhassem na região de Jundiaí-SP, e
mandei e-mails para eles pedindo informações sobre quanto seria o custo da
consultoria para a implantação de uma solução de firewall para o escopo já citado
anteriormente, bem como a estimativa de tempo gasto para concluir tal projeto.
A figura 26 mostra a resposta recebida do consultor Linux.
Figura 26: Cotação do consultor Linux

50
Anexo B – Cotações das Consultorias
A figura 27 mostra a resposta recebida do consultor Cisco.
Figura 27: Cotação do consultor Cisco
View publication stats
View publication stats

Comparação Netfilter/Iptables e Cisco ASA

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Comparação Netfilter/Iptables e Cisco ASA

Semelhante a Comparação Netfilter/Iptables e Cisco ASA (20)

Comparação Netfilter/Iptables e Cisco ASA